Vai al contenuto
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 passa a bcrypt: perché puoi rimuovere wp-password-bcrypt senza migrazioni
Hannah Turing
Hannah Turing 2025. February 20. · 3 min read

WordPress 6.8 passa a bcrypt: perché puoi rimuovere wp-password-bcrypt senza migrazioni

ecosistema wordpress bcrypt composer roots sicurezza wordpress

Tra le novità più interessanti in arrivo con WordPress 6.8 ce n’è una che impatta direttamente l’operatività quotidiana di chi gestisce progetti WordPress in modo “moderno” (Composer, deploy automatizzati, stack tipo Bedrock): il core userà bcrypt come metodo di default per l’hashing delle password (hashing = trasformazione irreversibile usata per verificare una password senza salvarla in chiaro).

Questo cambio rende di fatto superfluo wp-password-bcrypt, il pacchetto di Roots nato anni fa proprio per portare bcrypt su WordPress quando il core non lo offriva ancora. Roots ha annunciato il “sunset” del progetto: in pratica, viene messo in pensione perché il problema è stato risolto a monte.

Cosa cambia davvero con WordPress 6.8 (bcrypt nel core)

L’adozione di bcrypt nel core è un passo avanti importante per l’autenticazione. Dal punto di vista di chi sviluppa e mantiene siti, significa che l’hashing delle password non dipende più da un plugin o da un mu-plugin esterno per essere robusto: WordPress gestisce direttamente l’uso di bcrypt “dove applicabile”.

In altre parole: su WordPress 6.8+ il core è in grado di occuparsi della verifica delle credenziali e della gestione degli hash senza che tu debba aggiungere un layer ulteriore.

Se usi wp-password-bcrypt: quando e perché puoi rimuoverlo

Se il tuo sito gira su WordPress 6.8 o successivo, secondo l’annuncio di Roots non ti serve più wp-password-bcrypt. La parte più comoda è questa: puoi rimuovere il pacchetto in sicurezza, perché le password esistenti continuano a funzionare e non è richiesto alcun passaggio di migrazione manuale.

Punto chiave per chi fa manutenzione

Su WordPress 6.8+ puoi eliminare wp-password-bcrypt senza migrare gli utenti: il core gestisce l’autenticazione e gli hash in modo trasparente.

Cosa farà Roots con il pacchetto

Roots allinea il progetto a questa evoluzione del core con una serie di mosse coerenti con un pacchetto diventato non più necessario:

  • Il pacchetto wp-password-bcrypt verrà marcato come abandoned su Packagist.
  • Verranno rimossi i riferimenti da Bedrock e dalla documentazione correlata.
  • Il repository GitHub verrà archiviato.

Indicazioni pratiche per progetti basati su Composer/Bedrock

Se hai un progetto WordPress gestito con Composer (per esempio con Bedrock), la conseguenza operativa è semplice: una volta aggiornato a WordPress 6.8+, ha senso ripulire le dipendenze e ridurre superficie di manutenzione. In generale, meno componenti critici coinvolti nel login significa meno punti da monitorare e testare ad ogni update.

Non serve introdurre workaround o script di migrazione: l’indicazione esplicita è che WordPress continuerà a gestire correttamente le password già presenti.

Nota di pianificazione

L’indicazione di rimozione vale per installazioni su WordPress 6.8 o successive. Se hai ambienti ancora su versioni precedenti, valuta l’upgrade prima di rimuovere componenti legati all’hashing.

Perché questo è un miglioramento reale della sicurezza

Storicamente WordPress ha sempre privilegiato la compatibilità, e l’evoluzione dei meccanismi di hashing è un tema delicato perché coinvolge account esistenti, flussi di login, reset password e integrazioni. Portare bcrypt nel core significa standardizzare una scelta più robusta senza dipendere da soluzioni “di contorno”.

Per chi gestisce più siti o piattaforme multi-tenant, è anche un vantaggio di governance: meno eccezioni tra progetti, e una baseline più moderna direttamente nel core.

In sintesi

  1. WordPress 6.8 userà bcrypt come hashing delle password nel core.
  2. Su WordPress 6.8+ wp-password-bcrypt non è più necessario.
  3. Puoi rimuoverlo senza migrazioni: le password esistenti continuano a funzionare.
  4. Roots segnerà il pacchetto come abandoned, rimuoverà riferimenti da Bedrock e archivierà il repository.

Riferimenti / Fonti

Hannah Turing

Hannah Turing

Sviluppatrice WordPress e scrittrice tecnica presso HelloWP. Aiuto gli sviluppatori a creare siti web migliori con strumenti moderni come Laravel, Tailwind CSS e l'ecosistema WordPress. Appassionata di codice pulito e developer experience.

Tutti gli articoli

Altro da Hannah Turing

CVE-2026-23550: exploit attivo su Modular DS per WordPress, escalation a admin senza autenticazione CVE-2026-23550: exploit attivo su Modular DS per WordPress, escalation a admin senza autenticazione Automatizzare i form WordPress con n8n e WPForms: workflow pratici, webhook e mapping campi Automatizzare i form WordPress con n8n e WPForms: workflow pratici, webhook e mapping campi Astro entra in Cloudflare: cosa cambia per chi costruisce siti content-driven (e cosa porta Astro 6) Astro entra in Cloudflare: cosa cambia per chi costruisce siti content-driven (e cosa porta Astro 6)

Unisciti alla community di HelloWP!

Chatta con noi su WordPress e sullo sviluppo web e condividi esperienze con altri sviluppatori.

- membri
- online
Unisciti

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.